微软修复了 Office 的严重缺陷，该缺陷可能让攻击者在本地运行代码

微软已经打补丁了一个严重的 Microsoft Office 漏洞被追踪为CVE-2026-26110 作为一部分2026 年 3 月 10 日的安全更新。该漏洞的 CVSS 评分为 8.4，源于 Office 中的类型混淆问题，该问题可能允许未经授权的攻击者在目标系统上本地执行代码。

这使得这是一个严重的错误，但您共享的示例文章比官方材料支持的更进一步。微软发布的更新页面清楚地描述了CVE-2026-26110 作为 Microsoft Office 远程代码执行漏洞，但我查看的官方参考资料并未证实草案中有关预览窗格利用、零用户交互、全球平台范围或特定于 Android 的暴露的所有声明。应谨慎对待这些观点，除非您希望将它们归因于第三方分析而不是微软自己的咨询页面。

经过验证的核心故事仍然很重要。微软于3月10日发布了该补丁，该缺陷对 Office 的影响足以让 Microsoft 将其评级为严重。 CVE 描述称该问题涉及“使用不兼容类型访问资源”，这是类型混淆错误的典型模式。实际上，这意味着 Office 可能会错误地处理内存中的数据，从而导致恶意代码运行。

Microsoft Office 2016 的更新页面也确认该安全版本专门解决了 CVE-2026-26110。这为防御者提供了通过 Microsoft Update、Microsoft Update 目录和 Microsoft 下载中心获取接收这些软件包的受支持版本的直接补丁路径。

确认了什么

样本夸大了什么

草案中的几项主张需要删减或归属：

• 草案称，该缺陷广泛影响 Windows、Mac 和 Android。我在此处查看的材料中没有找到确认 CVE-2026-26110 完整跨平台范围的 Microsoft 官方页面。
• 该草案称 Windows 预览窗格是已确认的攻击媒介。我发现在第三方补丁星期二分析中，并没有在微软支持页面中出现在这里。
• 草案称该错误不需要用户交互。 CVE 摘要中显示的 CVSS 矢量列出了 UI:N，它支持该评分详细信息，但此处显示的官方支持页面并未详细说明完整的漏洞利用链。
• 草案称微软未报告任何积极的利用行为并且没有经过验证的漏洞代码。我没有在官方页面中找到确切的微软措辞，尽管第三方周二补丁摘要称利用该漏洞的可能性较小。

为什么这个漏洞很重要

Office 仍然是一个高价值目标，因为恶意文档仍然在网络钓鱼、恶意软件传递和初始访问中发挥着重要作用。即使缺陷需要本地触发，攻击者通常也可以通过电子邮件附件、下载、共享文件或企业内容工作流程来传递该触发。即使 Microsoft 尚未报告非法利用情况，得分为 8.4 的 Office 严重错误也值得快速修补。

类型混淆缺陷也往往让防御者担心，因为它们可能打开内存损坏的大门。一旦内存被误读或误用，攻击者就可能使应用程序崩溃、绕过限制或将问题链接到代码执行中。这就是为什么 Microsoft 将 CVE-2026-26110 归类为远程代码执行漏洞，而不是次要稳定性问题。

管理员和用户现在应该做什么

• 通过 Microsoft Update 或常规补丁管理工具安装 2026 年 3 月 10 日的 Office 安全更新。
• 优先考虑仍然依赖旧版永久 Office 版本（例如 Office 2016）的系统。
• 检查电子邮件和文件传递控制，因为 Office 缺陷通常与文档诱惑相伴。
• 如果您的环境包括已发布的支持页面中未明确涵盖的其他 Office 版本，请跟踪其他 Microsoft 指南。

FAQ